Page 1 of 1
key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Mon 22. Feb 2021, 13:28
by suhype
Hallo zusammen,
Ich habe eine Domain (example1.ch) inklusive E-Mails von einem anderen Provider zu meinem KeyHelp-Server migriert.
Der Empfang funktionierte einwandfrei. Allerdings habe ich beim Senden folgenden Fehler im OpenDKIM Log erhalten:
Code: Select all
key data is not secure: opendkim is in group 5001 which has multiple users
Wenn ich das überprüfe, kommt folgendes dabei raus (ist aber für mich nicht auffällig):
Code: Select all
# cat /etc/passwd /etc/group | grep opendkim
opendkim:x:115:121::/var/run/opendkim:/usr/sbin/nologin
opendkim:x:121:
Gemäss diesem
Artikel habe ich die Berechtigungen überprüft, welche alle korrekt zu sein scheinen.
Code: Select all
# l /etc/opendkim* /etc/opendkim/keys/*
-rw-r--r-- 1 root root 1910 Feb 22 11:50 /etc/opendkim.conf
/etc/opendkim:
insgesamt 16
drwx------ 5 opendkim opendkim 4096 Feb 4 15:27 keys
-rw-r--r-- 1 opendkim opendkim 292 Feb 4 15:27 key.table
-rw-r--r-- 1 opendkim opendkim 115 Feb 4 15:27 signing.table
-rw-r--r-- 1 opendkim opendkim 40 Nov 1 22:40 trusted
/etc/opendkim/keys/example1.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Feb 4 15:27 default.private
-rwx------ 1 opendkim opendkim 522 Feb 4 15:27 default.txt
/etc/opendkim/keys/example2.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Nov 5 14:53 default.private
-rwx------ 1 opendkim opendkim 518 Nov 5 14:53 default.txt
/etc/opendkim/keys/example3.ch:
insgesamt 8
-rwx------ 1 opendkim opendkim 1675 Nov 3 20:03 default.private
-rwx------ 1 opendkim opendkim 526 Nov 3 20:03 default.txt
In /etc/opendkim.conf habe ich folgende Zeile hinzugefügt und der Versand funktioniert nun:
Allerdings ist das meines erachtens nur eine temporäre Lösung und ich würde gerne wissen, was genau das Problem ist.
Hatte jemand bereits das gleiche Problem, oder eine Idee woran das liegen könnte?
Zu mein System:
Betriebssystem: Debian 10.8 (64-bit)
Kernel: 4.19.0-13-amd64
Administrations-Panel: 20.3.2 (Build 2131) Änderungsprotokoll
Mail Transfer Agent: Postfix 3.4.14
Mail Delivery Agent: Dovecot 2.3.4.1
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Mon 22. Feb 2021, 14:50
by Alexander
Hallo,
Was gibts an weiteren Informationen über die Gruppe 5001 zu berichten, wer steckt dort drin etc.?
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Tue 23. Feb 2021, 10:26
by suhype
Hallo Alexander,
Die Gruppe 5001 ist die Gruppe meines ersten KeyHelp Benutzers. Die Gruppe heisst gleich wie der Benutzer selber:
Code: Select all
# cat /etc/group /etc/passwd | grep 5001
myuser:x:5001:
myuser:x:5001:5001::/home/users/myuser/:/bin/false
Ansonsten ist - glaube ich jedenfalls - nichts speziell an dem Benutzer.
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Tue 23. Feb 2021, 13:11
by Alexander
Ich habe eine Domain (example1.ch) inklusive E-Mails von einem anderen Provider zu meinem KeyHelp-Server migriert.
Kannst du einmal beschreiben wie diese Migration ablief?
Im normalen KeyHelp Betrieb sollte der Fehler sich nicht reproduzieren lassen.
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Tue 23. Feb 2021, 21:50
by suhype
Folgende Schritte habe ich unternommen:
- Neuen Benutzer und Domain im KeyHelp als Admin erstellt (UID 5003 ; GID 5003)
- Als Benutzer eingeloggt und die E-Mail-Adressen erstellt
- DNS angepasst (wird extern gehostet)
- E-Mails mittels imapsync migriert
- Gewartet bis der DNS bei allen Root Servern übernommen wurde und getestet
Was ich noch vergessen habe zu erwähnen:
Der OpenDKIM Service lief zu vor der Migration gar nicht. Ich bin aber nicht sicher ob der Service von Anfang an nicht lief oder z.B. erst nach einem KeyHelp- oder System-Update nicht mehr...
Ich musste den Pfad zum PID-File des Services (/lib/systemd/system/opendkim.service) anpassen:
Code: Select all
Vorher: PIDFile=/var/run/opendkim/opendkim.pid
Nachher: PIDFile=/run/opendkim/opendkim.pid
/var/run ist ein Symlink zu /var und systemd hat anscheinend Probleme damit.
Auf dem System lediglich KeyHelp und Docker. Mit dieser Konfiguration hatte ich aber nie Probleme.
Danke für Deine Hilfe!
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Thu 25. Feb 2021, 11:26
by Florian
Hallo,
was gibt denn "id opendkim" aus?
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Thu 25. Feb 2021, 14:27
by suhype
Hallo Florian
Wie folgt:
Code: Select all
# id opendkim
uid=115(opendkim) gid=121(opendkim) Gruppen=121(opendkim)
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Thu 4. Mar 2021, 07:17
by marci
selber Fehler hier...
id opendkim
uid=115(opendkim) gid=119(opendkim) groups=119(opendkim)
key data is not secure: / is writeable and owned by uid 5001 which is not the executing uid (115) or the superuser
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Thu 4. Mar 2021, 09:45
by Alexander
Ihr könnt ja einmal den kompletten Inhalt von /etc/passwd und /etc/group zur Verfügung stellen.
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Thu 4. Mar 2021, 11:06
by marci
Code: Select all
# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
_apt:x:104:65534::/nonexistent:/bin/false
messagebus:x:105:109::/var/run/dbus:/bin/false
sshd:x:106:65534::/run/sshd:/usr/sbin/nologin
keyhelp:x:1000:1000::/home/keyhelp/:/bin/false
bind:x:107:112::/var/cache/bind:/bin/false
mysql:x:108:113:MySQL Server,,,:/nonexistent:/bin/false
proftpd:x:109:65534::/run/proftpd:/bin/false
ftp:x:110:65534::/srv/ftp:/bin/false
postfix:x:111:114::/var/spool/postfix:/bin/false
policyd-spf:x:112:116::/nonexistent:/bin/false
dovecot:x:113:117:Dovecot mail server,,,:/usr/lib/dovecot:/bin/false
dovenull:x:114:118:Dovecot login user,,,:/nonexistent:/bin/false
vmail:x:5000:5000::/var/mail:
opendkim:x:115:119::/var/run/opendkim:/bin/false
clamav:x:116:120::/var/lib/clamav:/bin/false
postgrey:x:117:121::/var/lib/postgrey:/bin/false
amavis:x:118:122:AMaViS system user,,,:/var/lib/amavis:/bin/sh
debian-spamd:x:119:123::/var/lib/spamassassin:/bin/sh
meinbenutzer:x:5001:5001::/home/users/meinbenutzer/:/bin/false
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
Code: Select all
# cat /etc/group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:
dip:x:30:
www-data:x:33:keyhelp
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
systemd-journal:x:101:
systemd-timesync:x:102:
systemd-network:x:103:
systemd-resolve:x:104:
input:x:106:
crontab:x:107:
netdev:x:108:
messagebus:x:109:
ssh:x:110:
ssl-cert:x:111:
keyhelp:x:1000:
bind:x:112:
mysql:x:113:
keyhelp_file_manager:x:1001:meinbenutzer
keyhelp_nossh:x:1002:meinbenutzer
keyhelp_noftp:x:1003:
keyhelp_suspended:x:1004:
postfix:x:114:
postdrop:x:115:
policyd-spf:x:116:
dovecot:x:117:
dovenull:x:118:
vmail:x:5000:
opendkim:x:119:
clamav:x:120:amavis
postgrey:x:121:
amavis:x:122:clamav
debian-spamd:x:123:
meinbenutzer:x:5001:
kvm:x:105:
render:x:124:
systemd-coredump:x:999:
mlocate:x:125:
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Fri 5. Mar 2021, 11:08
by suhype
Code: Select all
# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:104:110::/nonexistent:/usr/sbin/nologin
sshd:x:105:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
ntp:x:106:112::/nonexistent:/usr/sbin/nologin
keyhelp:x:1000:1000::/home/keyhelp/:/bin/false
bind:x:107:114::/var/cache/bind:/usr/sbin/nologin
mysql:x:108:115:MySQL Server,,,:/nonexistent:/bin/false
proftpd:x:109:65534::/run/proftpd:/usr/sbin/nologin
ftp:x:110:65534::/srv/ftp:/usr/sbin/nologin
postfix:x:111:116::/var/spool/postfix:/usr/sbin/nologin
policyd-spf:x:112:118::/nonexistent:/usr/sbin/nologin
dovecot:x:113:119:Dovecot mail server,,,:/usr/lib/dovecot:/usr/sbin/nologin
dovenull:x:114:120:Dovecot login user,,,:/nonexistent:/usr/sbin/nologin
vmail:x:5000:5000::/var/mail:/bin/sh
opendkim:x:115:121::/var/run/opendkim:/usr/sbin/nologin
clamav:x:116:122::/var/lib/clamav:/bin/false
postgrey:x:117:123::/var/lib/postgrey:/usr/sbin/nologin
debian-spamd:x:118:124::/var/lib/spamassassin:/bin/sh
amavis:x:119:125:AMaViS system user,,,:/var/lib/amavis:/bin/sh
benutzer1:x:5001:5001::/home/users/benutzer1/:/bin/false
benutzer2:x:5002:5002::/home/users/benutzer2/:/bin/false
bitwarden:x:1001:1006:,,,:/home/bitwarden:/bin/bash
benutzer3:x:5003:5003::/home/users/benutzer3/:/bin/false
_rpc:x:120:65534::/run/rpcbind:/usr/sbin/nologin
statd:x:121:65534::/var/lib/nfs:/usr/sbin/nologin
Code: Select all
# cat /etc/group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:
dip:x:30:
www-data:x:33:keyhelp
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
systemd-journal:x:101:
systemd-timesync:x:102:
systemd-network:x:103:
systemd-resolve:x:104:
input:x:105:
kvm:x:106:
render:x:107:
crontab:x:108:
netdev:x:109:
messagebus:x:110:
ssh:x:111:
systemd-coredump:x:999:
ntp:x:112:
docker:x:998:bitwarden
ssl-cert:x:113:
keyhelp:x:1000:
bind:x:114:
mysql:x:115:
keyhelp_file_manager:x:1001:ueli,erny-marketing,benjamin
keyhelp_nossh:x:1002:ueli,erny-marketing,benjamin
keyhelp_noftp:x:1003:
keyhelp_suspended:x:1004:
keyhelp_chroot:x:1005:
postfix:x:116:
postdrop:x:117:
policyd-spf:x:118:
dovecot:x:119:
dovenull:x:120:
vmail:x:5000:
opendkim:x:121:
clamav:x:122:amavis
postgrey:x:123:
debian-spamd:x:124:
amavis:x:125:clamav
benutzer1:x:5001:
benutzer2:x:5002:
bitwarden:x:1006:
benutzer3:x:5003:
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Fri 5. Mar 2021, 11:41
by Alexander
Bin ehrlich gesagt überfragt, was hier die Ursache ist.
Laut opendkim source code geht er eigentlich nur die /etc/passwd und /etc/groups durch und entscheidet anhand der gefundenen Daten, ob er die Meldung ("opendkim is in group 5001 which has multiple users") wirft oder nicht.
Die scheinen bei euch aber in Ordnung zu sein. Ich kann es auch nicht reproduzieren etc.
Eigentlich sollte in der aktuellen Version die Meldung auch aussagekräftiger sein, nämlich so "%s is in group %u which has multiple users (e.g., \"%s\")". Der e.g. Teil fehlt aber bei dir scheinbar. Bei euch läuft auch OpenDkim in Version 2.11.0 (opendkim -V)?
Am besten auch mal bei den OpenDkim-Maintainern nachfragen, woran es noch liegen könnte.
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Sat 6. Mar 2021, 08:06
by nikko
Sind das virtuelle Maschinen oder dedizierte? Falls virtuell, welche Virtualisierung?
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Mon 8. Mar 2021, 06:30
by marci
Virtuell. KVM.
Re: key data is not secure: opendkim is in group 5001 which has multiple users
Posted: Tue 16. Mar 2021, 09:52
by suhype
Bei mir läuft KeyHelp auf einer dedizierten Maschine.
@Alexander, ich werde das Thema weiter verfolgen und hier Bescheid geben, falls ich mehr herausgefunden habe.